Отсутствуют данные от NTP и SNAC

[Shell 301]

В статистике SEPM v.11.0.5002 отсутствуют данные от NTP и SNAC (заблокированные устройства, атаки, любая статистика от NTP). Логи от applications control есть.

База на MS SQL 2008.

Версия SEPM постоянно обновлялась, сервер был вторичным в сайте.

Клиенты - подавляющее большинство (более 95% - на версии 11.0.4202). Блокировка доступа к съемным устройствам активирована. Компоненты за исключением outlook стоят все на клиентах.

Режим восстановления SEPM не помогает.

snac.xml на месте. Политики целостности активны.

Проблема появилась при перебросе клиентов с другого управляющего SEPM (одновремено с переводом на RU5).

Есть варианты решения?

[Shell 301]

Теме АП ибо она стала критической для моей компании.

Кирилл, надежда на Вас. Стоит регистрировать тикет?

Перепроверил все и вся. Все 100% клиентов в managed режиме. Связь с SEPM каждые 30мин +/-15 в Pull режиме. Функция сбора логов в SEPM на группах клиентов установлена (за исключением traffiс log и packet log). Остальные логи (заблокированные приложения, отчеты по вирусам, железу) - в SEPM есть. Последние логи о заблокированных девайсах - от августа 2009. Галка логировать Log blocked device установлена. Большая часть клиентов - версии 11.0.4202. SEPM - последний Ru5. База SEPM на MS SQL 2008.

Проблема появилась предположительно после перевода SEPM на RU5.

В логах SEPM scm-server-1.log одна только ошибка:

2010-03-23 10:01:18.550 SEVERE: Unknown Exception in: com.sygate.scm.server.task.AgentLogCollectorjava.sql.BatchUpdateException: The column name 'USN' is specified more than once in the SET clause. A column cannot be assigned more than one value in the same SET clause. Modify the SET clause to make sure that a column is updated only once. If the SET clause updates columns of a view, then the column name 'USN' may appear twice in the view definition.    at net.sourceforge.jtds.jdbc.JtdsStatement.executeBatch(JtdsStatement.java:835)    at org.apache.commons.dbcp.DelegatingStatement.executeBatch(DelegatingStatement.java:297)    at com.sygate.scm.server.logreader.sep.BatchLogHandler.process(BatchLogHandler.java:201)    at com.sygate.scm.server.logreader.sep.LogHandler.process(LogHandler.java:84)    at com.sygate.scm.server.task.AgentLogCollector.enumerateInbox(AgentLogCollector.java:285)    at com.sygate.scm.server.task.AgentLogCollector.run(AgentLogCollector.java:103)    at java.util.TimerThread.mainLoop(Timer.java:512)    at java.util.TimerThread.run(Timer.java:462)

[Кирилл Керценбаум 671]

Shell судя по ошибке - какая-то проблема с форматом БД, думаю что тикет открыть нужно и сразу сказать про эту ошибку в логах

[Shell 301]

Открыл сейчас. 411824346.

[Shell 301]

Проблема решена.

3 сервера SEPM - на 2х возникли проблемы при обновлении на Ru5.

Ошибка видна при проверке с помощью c:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools\dbvalidator.bat.

Ошибка:

2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Link is broken for [0] physical file ids :2010-04-08 10:07:40.139 INFO: *********************************************2010-04-08 10:07:40.139 INFO: Database validation failed.2010-04-08 10:07:40.139 INFO: Finished.

Что и как сделал:

1. Забекапил ключи и БД
2. Удалил SEPM с 2х серверов которые выдавали ошибку.
3. Удалил на них БД
4. Установил SEPM как аддишинал сайт с таким же именем.
5. Отключил в IIS возможность доступа к сайту для всех клиентов временно на всякий случай (по IP).
6. Партнера по репликации указал тот SEPM который выдавал "Database validation passed."
7. Реплицировал, получив уже настроенные политики.
8. Восстановил keystokes. Рестартовал SEPM.
9. Проверил БД с помощью dbvalidator.
10. Пустил клиентов в IIS.

После этого клиенты успешно подцепились сами, в логах появились сообщения о заблокированных устройствах.

P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

[Кирилл Керценбаум 671]

Что и как сделал:

Тех. поддержка помогла или самому пришлось разбираться?

[Shell 301]

Кирилл, тех поддержка сказала что скорее всего проблемы в базе данных после перехода на RU5. Предложили использовать dbvalidate и заново пересоздать сайт. Хорошо хоть одна база из трех оказалось валидной) Иначе я даже не представляю сколько по времени получилось бы пересоздать все политики...

Если новую БД синхронизировать с невалидной БД - она окажется битой, dbvalidate покажет ошибки.

[Pavel Polyanskiy 65]

P.S.

Кирилл, скорее к Вам вопрос или к Павлу - а зачем SEPM при инсталляции доступ на симантековский сервер?

А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

[Shell 301]

А вот это интересненько...а пробовали ставить SEPM с отключенным доступом в Инет?

Павел, скриншот Вам отправил по почте вчера.

С отключенным доступом - вроде 11.0.4202 ставилась на Vmware без проблем.

Вопрос возник когда начал ставить с активированными правилами SEP, где в логах и увидел данное сообщение.

Без доступа в инет на этом сервере SEP RU5 так и не удалился, удалил вручную. Сообщение возникло в момент инсталляции.

[Pavel Polyanskiy 65]

Пришел ответ от специалиста из Symantec:

"В RU5 для улучшения качества продукта стали собирать информацию об окончании установки.http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/f8e237e38cf127ae88257639005c3986?OpenDocument

Никакой конфиденциальной информации не собирается. Пример информации: какая ОС, делается ли апгрейд или новая установка, удачно ли прошла установка…"

Так что все Ок.

[Shell 301]

Спасибо за ответ, Павел.

Суеты и обеспокоенности не было, просто интересно =)